Identity Threat Protectionの主要コンセプト
Okta Identity Threat Protection with Okta AI(ITP)の主要なコンセプトとコンポーネントについて学び、IDセキュリティソリューションがorgをどのようにして守るかを理解します。
ユーザーセッションのコンセプト
- ユーザーセッション
- OktaセッションまたはOktaセッションと関連するアプリセッション。
- Oktaセッション
- ユーザーが認証され、Oktaによって保護されるアプリへのアクセスが承認されている状態です。Oktaセッションは、ユーザーがOktaにサインインしたときに開始します。ユーザーがアプリのリソースとやり取りしている間、Oktaセッションは、1つ以上のアプリセッションと関連します。Oktaは、Oktaセッションクッキーをユーザー(クライアント)に発行して、ユーザーのこの状態を維持します。
- アプリセッション
- ユーザーがOktaで認証し、アプリへのアクセス権を得た後に、アプリによって維持される状態です。アプリは、アプリセッションクッキーをユーザー(クライアント)に発行して、ユーザーのこの状態を維持します。
- ユーザーセッションコンテキストの変更
- ユーザーのIPまたはデバイスのコンテキストが、セッション中に変更する可能性があります。そのような変更が検出されたら、ITPはユーザーリスクを再評価します。また、セッションコンテキストの変更がユーザーリクエストに関連する場合は、動作も再評価します。ITPは、この情報をSystem Logにuser.session.context.changeイベントとして記録します。
- セッション違反
- ITPがセッションコンテキストの変更を検出した場合は、アクティブなアプリセッションすべてに対するグローバルセッションと認証ポリシーを再評価します。一致するポリシールール内の要件がユーザーセッションによって満たされない場合、セッション違反が起こります。System Logのpolicy.auth_reevaluate.failイベントは、セッション違反を示します。
リスクの種類および関連するポリシー
- リスク・エンジン
- Okta AIの主要コンポーネント。ITPでOkta Risk Engineは、ログイン、セッション、エンティティリスクを計算します。ログインリスクは認証中に計算されます。認証後、リスク・エンジンはセッションリスクを計算します。また、リスク・エンジンは振る舞い検知およびThreatInsightを支援します。ITPは、リスク・エンジンを使用して、管理者とユーザーからフィードバックを収集し、グローバルセッションポリシーと認証ポリシーを再評価し、エンティティリスクポリシー評価を駆動します。
- セッションリスク
- アクティブユーザーセッション中にIPまたはデバイスコンテキストの変更が起こった場合、ITPは、セッションが侵害された可能性を評価し、リスクレベルを計算します。ITPは、トークンの窃盗および再生などの、セッションハイジャックのパターンをチェックします。セッションリスクの滞在的影響は、Oktaセッションおよびそのセッションを通してアクセスされたアプリに限定されます。System Logのuser.session.context.changeイベントは、ユーザーセッションコンテキストの変更を示します。このイベントには、リスクレベルと変更の理由に関する情報が含まれます。セッション違反が起こった場合、認証後セッション評価ポリシーは、構成された修復アクションを自動的に実行します。
セッションリスク、セッションコンテキストの変更、およびセッション違反は、認証後セッション評価ポリシーを駆動します。このポリシーで、セッション違反が起こったときの適応的修復アクションを構成できます。System Logのpolicy.auth_reevaluate.actionイベントは、セッション違反に反応して、認証後セッションポリシーにより、修復アクションが実行されたことを示します。「Identity Threat Protectionの認証後セッション評価」を参照してください。
- エンティティリスク
- ITPは、デバイス、セッション、アプリケーション全体のアクセスに基づいて、ユーザーアカウントが侵害された可能性を評価します。ITPは、ユーザーにアクティブなセッションがない場合でも、エンティティリスクを評価します。エンティティリスクはユーザーアカウントについて評価するため、エンティティユーザーリスクとも呼ばれています。ITPは、Oktaソースのエンティティリスク検出およびシグナルか、またはShared Signals Framework(SSF)およびContinuous Access Evaluation Protocol(CAEP)を通してセキュリティイベントプロバイダーから受け取った検出に基づいてリスクを評価します。System Logのuser.risk.detectイベントは、エンティティユーザーリスクレベルの検出を示します。
エンティティリスクポリシーで、エンティティリスク検出に応じて、適応的修復アクション(Universal LogoutまたはWorkflows)を構成できます。さまざまな脅威に対する複数のルールを設定でき、ユーザーグループ、エンティティリスク検出、リスクレベルによって、条件を定義できます。「エンティティリスクポリシー」を参照してください。
リスク検出
ITPは、System Logのuser.risk.detectおよびuser.session.context.changeイベント内でリスク検出としてリスクを表面化します。Oktaのリスク検出は、IDの攻撃に使用される戦術(tactics)、技術(techniques)、手順(procedures)(TTP)の種類です。リスクの種類ごとに分類すると、検出はセッションリスクまたはエンティティリスクに分類されます。
- セッションハイジャックの疑い
- セッションリスクの検出。ITPは、Okta AIを使用して、トークンの窃盗および再生のパターンを特定します。
- This wasn't me(これは自分ではない)
- エンティティリスクの検出。Oktaが生成するセキュリティ通知メールに対応して、またはOkta End-User Dashboardの[最近のアクティビティ]ページで[Report(レポート)]をクリックしてユーザーがインシデントを報告しました。
- ユーザーリスクに影響したセッション
- エンティティリスクの検出。セッションコンテキスト内の変化が原因でエンティティリスクレベルが変更されました。IPまたはデバイスコンテキスト内の変化が原因で、セッションリスクが変更する可能性があります。この検出は、セッションリスクレベルが高に変化した場合にのみ生じます。
- ブルートフォース攻撃の疑い
- エンティティリスクの検出。Oktaが、パスワードを取得しようとした、またはorgへのMFAベースのアクセスを得ようとした、潜在的な脅威アクターによる試みを検出します。
- Okta脅威インテリジェンス
- エンティティリスクの検出。Okta脅威インテリジェンスは、洗練された脅威アクターのアクティビティを、彼らが使用するインフラストラクチャーの署名を検出して特定します。たとえば、Oktaは、フィッシングインフラストラクチャーがユーザーアカウントを攻撃するために使用されたこと、アカウントがセキュリティ侵害を受けた可能性があることを検出します。
- 管理者から報告されるユーザーリスク
- エンティティリスクの検出。管理者は、Admin Consoleのユーザーのプロファイルページで、またはユーザーリスクAPIを使用して、エンティティリスクレベルを上げることができます。エンティティリスクレベルを上げると、自動的に「高」に変化します。通常、管理者は、Oktaではないソースまたはセキュリティオペレーションからユーザーアカウントが侵害されたことを知ると、手動でエンティティリスクレベルを上げます。また、User Risk APIにより、管理者は、さまざまなID保護プロバイダー同士を接続することができ、これによりorgのIDセキュリティスタック全体にわたって一貫したリスク表示を確保できます。
- 高脅威IPからのエンティティの重大アクション
- エンティティリスクの検出。Oktaは、高脅威IPアドレスから重大アクションが実行されたことを検出しました。重大アクションの例として以下が含まれます:
- MFA Authenticatorの登録
- パスワードの変更
- 管理者ダッシュボードへのアクセス
- セキュリティイベントプロバイダーから報告されるリスク
- エンティティリスクの検出。統合されたセキュリティイベントプロバイダーがリスクイベントを報告したときに、この検出が起こります。「共有信号レシーバーを構成する」を参照してください。
- 不審なアプリアクセス
- エンティティリスクの検出。ITPが、アプリのセッションクッキーを収集しようとする攻撃者の試みを検出しました。たとえば、悪人が盗んだセッションクッキーを使用して、複数のアプリへのアクセスを試みました。